導讀當地時間9月13日，美國參議院司法委員會召開題為“數據安全面臨風險：來自Twitter舉報人的證詞”的聽證會。Twitter前網絡安全主管PeiterZat....

當地時間9月13日，美國參議院司法委員會召開題為“數據安全面臨風險：來自Twitter舉報人的證詞”的聽證會。Twitter前網絡安全主管Peiter Zatko出席作證時表示，Twitter除了存在安全漏洞，還缺乏對用戶數據的管理，比如公司里的工程師只了解其中20%的數據是什么、為什么要收集。

Peiter Zatko在聽證會上作證。(Kevin Dietsch/Getty Images)

今年7月，Zatko曾指控Twitter存在一系列關系到個人隱私、國家安全的隱患，包括存在未披露的安全和隱私漏洞、可能未按要求刪除已注銷賬號的數據，以及可能雇用了外國情報人員。在這次聽證會上，Zatko對這些指控進行了更詳細的闡釋，認為“Twitter高管不具備完全理解這一問題的能力，但更重要的在于，公司的激勵機制使他們重利潤、輕安全”。

對此，Twitter回應：“今天的聽證會只能證實Zatko的指控充滿了矛盾和不準確。”Twitter發言人對CNN表示，公司招聘不受外國影響，公司內部數據的訪問是通過背景調查、訪問控制和監控系統等措施來管理的。但他拒絕直接回應Zatko提出的一系列具體指控，包括員工中是否混入外國特工。

在聽證會同一天，Twitter股東召開會議，投票結果是支持馬斯克440億美元的收購，這意味著想要放棄該交易的馬斯克需要進一步訴訟。不過，Zatko在聽證會上的證詞，以及司法機關由此采取的任何行動，都可能會對這起法律糾紛產生影響。

如指控屬實，罰款可達數十億美元

據悉，Zatko于2020年11月被Twitter聘為網絡安全主管，職責是加強公司的網絡安全和隱私保護。今年1月Zatko被解雇。Zatko聲稱，他被解雇是因為他在公司內部對安全漏洞以及公司高管對董事會的虛假陳述提出了擔憂。而Twitter發言人稱，解雇原因是他“領導不力，表現不佳”。

今年7月，Zatko向美國國會議員和監管機構提交了一份約200頁的披露書，指控Twitter存在一系列安全隱患，并且“誤導了公眾、立法者和監管者甚至他們自己的董事會”。他指控，Twitter沒有遵守其在2011年與美國聯邦貿易委員會（FTC）達成的保護用戶個人信息的協議，在隱私安全、內容審核、虛假賬號數量檢測方面存在“極其嚴重的漏洞”，例如系統和軟件過時、無法抵擋外部黑客的攻擊，員工權限混亂、能夠隨意訪問用戶數據，虛假賬號數量檢測流程存在漏洞等。

Twitter對此的回應是，Zatko的證詞是對公司的“錯誤描述”，“充滿了前后矛盾和不準確的地方，缺乏重要背景”，是一次“借機報復”。

聽證會前一天，美國參議院司法委員會方面曾致函Twitter的CEO Parag Agrawal，詢問了數十個關于其安全措施的問題，包括為保護平臺中個人數據所采取的措施，以及如何防止內部威脅等，并要求Twitter 在今年9月26日前作出回應。如果這些指控得到證實，Twitter可能會被處以數十億美元的罰款。

美國參議院司法委員會還邀請Parag Agrawal參與聽證會，回答有關內容審核外包的問題。但Agrawal拒絕出席，聲稱這可能會對Twitter與馬斯克正在進行的訴訟造成影響。參議員Chuck Grassley表示，如果Zatko的指控得到證實，“我不知道Agrawal先生如何能保住他在Twitter的職位”。

在聽證會開場發言中，參議員Grassley擔心FTC是否有能力監督Twitter遵守個人信息保護的同意令。他說：“在國會考慮聯邦數據隱私立法之際，我認為我們有必要利用這些爆料來了解Twitter如何看待其對聯邦監管機構的義務。國會也應該注意到FTC在成功監督這些重要問題方面缺乏能力。”

對此，Zatko在聽證會上表示，FTC等聯邦機構資源不足，與強大的技術平臺相比處于劣勢。他說，Twitter并不像害怕外國監管機構——比如法國的數據保護機構CNIL那樣害怕FTC。這是因為，Twitter擔心外國監管機構未來可能對其業務實施持續的處罰或限制，而美國監管機構只會實施一次性的罰款或處罰。

安全漏洞下，工程師可登入任何人賬號發文

在作證時，Zatko闡述了他決定成為“吹哨人”的原因。他說，當他加入Twitter時，發現“這家極具影響力的公司落后于行業安全標準十多年”，“會對真實的人造成真實的傷害”。因此，Twitter對國家安全和用戶的潛在風險讓他決定“有必要為自己和家人承擔舉報人的個人和職業風險”。

Zatko表示，他曾向公司高管提出關于安全漏洞的擔憂，但高管們沒有采取行動。他認為：“Twitter高管不具備完全理解這一問題的能力，但更重要的在于，公司的激勵機制使他們重利潤、輕安全。”

“我揭發此事并非出于怨恨或傷害Twitter。”他說，他希望披露的信息能幫助Twitter最終解決安全問題，他還鼓勵該公司傾聽其工程師和員工的意見——“他們長期以來都在報告我披露的問題。”

對于Twitter存在的安全漏洞，Zatko披露了他的親身經歷。“我看到過很多次Twitter工程師修補漏洞。我問：‘問題出在什么地方？’他們說：‘工程師可以登入任何人的賬號發文，這里涉及數據泄露。’”

“一個Twitter工程師，只要了解系統和數據流如何運行，就可以訪問、輸入或提取信息。”Zatko警告稱，在出現安全漏洞時，說一個Twitter員工可以接管這個房間里所有參議員的賬戶并不夸張。不過他同時強調，在該公司任職期間，他從未見過這種事發生。

Twitter未能完全了解與控制其收集的數據

對于工程師修補安全隱患的做法，Zatko評論稱：“到處尋找傷口并給它們貼上創可貼的做法是無效的，因為系統性的根本問題沒有得到解決。”至于什么是“系統性的根本問題”，Zatko認為，是如何更好地控制Twitter收集的數據。

他此前對Twitter的主要指控之一是，Twitter沒能令人信服地刪除注銷賬號的用戶數據。 “他們需要知道他們擁有什么數據，這些數據在哪里，他們為什么得到這些數據，以及這些數據與誰有關。”Zatko說，如果Twitter能更好地控制其數據，這是可能做到的，但它沒有，這是該公司的“根本問題”。

Zatko說，當他來到Twitter時就開始問：“為什么他們總是發生這么多安全事件？”他認為，部分原因是Twitter沒有完全了解它從用戶那里收集的所有數據，也沒有完全了解它為什么要收集這些數據。

他引用的一項由工程師進行的內部研究稱，Twitter收集的所有數據中，工程師能夠明確為什么要收集、應該如何使用、什么時候應該刪除的只有約20%，對于剩下的數據，公司通常不知道這些數據是什么，也不知道為什么要收集。他聲稱，這些未知數據的樣本包括電話號碼和地址等個人身份信息。

根據Zatko的說法，Twitter收集用戶信息的清單包括：用戶的電話號碼，最新以及過去使用的IP地址，電子郵件，Twitter存儲的用戶住址和訪問地址，設備類型，網絡瀏覽器，以及用戶使用的語言。

Zatko還表示，由于該公司沒有正確理解并保護其收集的數據，進入Twitter系統的不法分子可能會訪問并利用這些數據。

Twitter缺乏對員工行為的跟蹤，可能被外國利用

此外，參議員Grassley在聽證會開場發言中表示，Zatko的披露說明了Twitter用戶的個人數據可能會暴露給外國情報機構。他擔心，Twitter收集的數據可能被外國特工用于追蹤政治異見人士，或監視美國人。

他特別提到了沙特阿拉伯的例子：今年早些時候，一名Twitter前經理被聯邦陪審團定罪，罪名是利用自己的內部信息進入推特賬戶，挖掘批評沙特政權人士的個人信息，并將數據移交給沙特政府。

Zatko認為，政府試圖將特工安插到該公司的隊伍中可能有很多原因。“這將不僅有助于識別相關人員或追蹤相關團體，還可能有助于查看Twitter是否識別了你們的特工或你們的信息業務，以及Twitter可能識別了哪些其他政府的信息……除了在工程方面訪問大量數據的能力之外，你還想知道Twitter的計劃是什么，是否會在不同類型的政治壓力下——比如武力，而屈服于你對環境中信息的控制要求。”

Zatko表示，由于“基礎設施和工程技術遠遠落后”，Twitter內部缺乏對員工行為的跟蹤和日志記錄，而這增加了外國特工在公司內部操作并利用其數據的風險。“追蹤這些人極其困難，缺乏記錄，無法看到他們在做什么，什么信息被訪問……更不用說制定補救措施了。”

他補充說，因為沒有記錄內部系統的使用情況，“每周都有數千次訪問內部系統的失敗嘗試發生，但沒有人注意到”。他聲稱，通常只有當外部機構提醒Twitter公司內部有外國特工時，Twitter才會意識到這個人的存在。

在Zatko看來，對于Twitter可能有外國特工混入的情況，公司高管似乎“不愿付出努力”根除。他說，一位高管的回答是：“好吧，既然我們已經有了一個，如果我們有更多的會有什么問題？讓我們繼續擴大辦公室的規模。”

聽證會可能影響馬斯克與Twitter的訴訟

在周二聽證會進行時，埃隆·馬斯克在Twitter上發布了一個爆米花表情符號。網友猜測，這表明他可能在密切關注聽證會的結果。目前，馬斯克正努力通過訴訟擺脫440億美元收購Twitter的交易。

Zatko在7月的重磅指控給馬斯克放棄收購Twitter提供了理由。馬斯克表示，Twitter嚴重違反了收購協議中的多項條款，包括對其平臺上垃圾郵件機器人數量存在“誤導性陳述”，并引用了Zatko披露的其他指控，比如Twitter違反了2011年美國聯邦貿易委員會關于處理私人用戶數據的協議。

Zatko在聽證會上的證詞可能會對這起訴訟產生新影響。周五，馬斯克對Twitter提出了最新的反訴。此前負責此案的法官表示，他可以根據Zatko的披露修改自己的論點。不過，Zatko的律師此前曾表示，他與馬斯克沒有任何聯系，對Twitter的指控和對這筆交易沒有關系。

上周五，馬斯克發出了第三封信，尋求終止與Twitter的協議，稱Twitter在6月份向Zatko支付了據稱775萬美元的遣散費。他認為，這筆款項是Twitter讓Zatko對公司運營情況保持沉默的“封口費”，并以此作為終止收購交易的理由之一。9月12日，Twitter回應稱，這筆款項只是離職后薪酬賠償的一部分。

在聽證會同一天，Twitter股東召開會議，就是否批準馬斯克440億美元的收購進行投票。股東投票是完成這筆交易所需的最后步驟之一，如果投票結果為反對，馬斯克可以立即終止收購交易。投票最終結果是支持該交易。這意味著馬斯克與Twitter的訴訟還將繼續，法院將在10月開庭審理。

綜合/編譯：實習生程雨祺 南都記者蔣琳